¿Qué son los ataques de phishing?

Un ataque de phishing es cuando los hackers intentan engañarle para que comparta información sensible. Su objetivo es robar inicios de sesión, números de tarjetas de crédito e información corporativa confidencial. También podrían intentar infectar sus equipos con malware.

¿Qué es el phishing?

El phishing hace referencia al intento de robo mediante dispositivos conectados. La acción podría ser manual o se podría ejecutar mediante una herramienta que automatice el proceso. También puede ser una combinación que comienza con una herramienta generada por script que abre la puerta para que un hacker complete el ataque manualmente.

El primer uso del término «phishing» se remonta al año 1994, cuando algunos adolescentes se las ingeniaron para robar manualmente números de la tarjeta de crédito de usuarios desprevenidos en AOL. Hacia 1995 crearon un programa llamado AOHell que hacía esta labor automáticamente por ellos. 

Desde entonces los hackers han seguido inventando nuevas formas de obtener información de personas que se conectan a internet. Estos agentes han creado un gran número de programas y tipos de softwares maliciosos que aún se siguen utilizando en la actualidad. Algunas de estas herramientas se crearon con el único objetivo de hacer pruebas de penetración, es decir, para «hackear con permiso». No obstante, una vez que se crea una herramienta, los atacantes se las ingenian para utilizarla de forma maliciosa.

Desde entonces, los hackers han creado software malicioso específicamente para aplicaciones de phishing. Un ejemplo es la herramienta PhishX, que está diseñada para robar información bancaria. Mediante el uso de PhishX, los atacantes crean un sitio web bancario falso que parece ser un banco real en donde es posible que tenga una cuenta. Personalizan la página con sus números de teléfono y direcciones de email. Al hacer clic en «Contáctenos», establece comunicación directa con los hackers.

Phishing Frenzy es otro ejemplo de herramienta de phishing por email originariamente creada para pruebas de penetración. Phishing Frenzy resulta fácil de utilizar y, como consecuencia, numerosos hackers lo han utilizado.

Otra herramienta de phishing es Swetabhsuman8, la cual permite que los hackers creen páginas de inicio de sesión falsas para hackear cuentas de Instagram. Cuando intenta iniciar sesión, el hacker recopila su ID de usuario y contraseña. 

Además de los sitios web falsos, las herramienta de phishing por email y las páginas de inicio de sesión maliciosas para robar sus credenciales, los hackers crean centros de llamadas conectados a un número de teléfono que recibe mediante uno de sus emails, sitios web falsos o mensajes de texto. 

Los agentes de ransomware actuales normalmente atacan empresas grandes para obtener el máximo beneficio posible. Tienden a pasar una gran cantidad de tiempo conquistando cada sección de la red de la víctima hasta que finalmente inician su ataque de ransomware. Este tipo de ataques de varias etapas a menudo se inician con un sencillo email de phishing.

Ejemplos de ataques de phishing

A pesar de que hay un gran número de distintos ataques de phishing, el phishing por email destaca como el más reconocible y prevalente. Este método de ataque se ha sofisticado más con la llegada del spear phishing, whaling y ataques guiados por láser. Los ataques de phishing también se han propagado desde los programas de email hasta las plataformas de comunicación, incluidos los mensajes de texto y las redes sociales.

Los ataques de phishing incluyen:

  • Phishing por email: un hacker envía un mensaje por email que contiene un enlace con la intención de provocar su inquietud, preocupación o curiosidad. La finalidad de este email es que haga clic en el enlace.
  • Vishing: un agente de amenazas llama al teléfono fijo, móvil o teléfono VoIP para involucrar al usuario en una conversación.
  • Smishing: un delincuente envía un mensaje de texto pidiéndole que haga clic en un enlace o que llame al remitente.
  • Pharming: dado que cada vez más personas son conscientes de los peligros de hacer clic en enlaces de email no solicitados, los agentes maliciosos crearon el pharming. Un ataque de pharming incluye una URL maliciosa con la esperanza de que copie y pegue la dirección web en su navegador web y acceda directamente al sitio web. El pharming compromete la información del caché local del sistema de nombres de dominio (DNS) que lleva a la víctima al destino adecuado. A continuación, el enlace malicioso le lleva al sitio web falsificado.
  • Spear phishing: un hacker envía un email dirigido y personalizado a una organización o persona específica. Los emails de spear phishing normalmente están dirigidos a ejecutivos o a quienes trabajan en los departamentos financieros.
  • Whaling: es similar al spear phishing, pero a menudo se dirigen a altos ejecutivos en una organización.

Ataques de phishing online

Los hackers adoran aprovecharse de nuestro mundo online. Lo hacen creando páginas de inicio de sesión o sitios web falsos para recopilar datos sensibles. Además de obtener acceso a los números de tarjetas de crédito, cuentas bancarias y credenciales de redes sociales, los agentes de amenazas intentan atacar los canales de redes sociales de sus amigos o compañeros de trabajo. Esto ocurre cuando un delincuente obtiene acceso a su cuenta y envía ataques de phishing a sus seguidores, amigos y compañeros de trabajo a través de un mensaje directo. La gran popularidad de las redes sociales ha hecho que este método sea el más común en la última década.

Cómo evitar ataques de phishing

Hay muchos métodos que puede utilizar para protegerse. Lo primero y lo más importante es actuar con precaución.

  • Inspeccione los emails cuidadosamente antes de hacer clic en ellos. Pase el cursor sobre la dirección de email original o sobre el enlace en el que deseen que haga clic. Esto puede revelar información que indique que es un email de phishing.
  • Antes de escribir información delicada en un sitio web, compruebe nuevamente la URL que se encuentra en la parte superior de la página. ¿Es un sitio web real? ¿Hay letras adicionales en la dirección? ¿Hay letras intercambiadas por números como un O por un 0? Podría ser difícil encontrar la diferencia.
  • Piense antes de hacer clic en las publicaciones de sus amigos. Si parece algo demasiado bueno como para ser verdad, es que probablemente no lo sea.
  • Analice antes de responder a publicaciones que digan que su amigo tiene problemas y necesita dinero. ¿Realmente es la forma en la que le contactaría?
  • Piense antes de hacer clic en las ventanas emergentes o subyacentes.
  • Piense antes de abrir el archivo adjunto de un email. ¿Está esperando algún archivo de esa persona? Si no lo está esperando, pregúntele.
  • Piense antes de contestar a los mensajes de texto (SMS). Es improbable que su compañía telefónica o su banco se pongan en contacto con usted con un mensaje.
  • No proporcione ninguna información personal a menos que tenga la completa seguridad de que está hablando con una persona en la que confía.
     

Lo segundo que tiene que hacer es proteger sus cuentas. Las contraseñas tienen que tener 20 o más caracteres. Su contraseña no tiene por qué contener las cuatro opciones (mayúscula, minúscula, número y símbolo). Dos o tres son suficientes, pero aumente la seguridad cuando cree nuevas contraseñas. Muchas personas tienen problemas para recordar las contraseñas. Cree una contraseña larga que vaya a recordar. Guarde todas en un administrador de contraseñas como LastPass o Password Safe.

Y, lo más importante, habilite la autenticación en dos fases (2FA) en todas sus cuentas. Si la única opción que le proporciona el sitio es utilizar su teléfono para recibir un mensaje de texto con una contraseña de un solo uso, será mejor que utilizar solo la contraseña para acceder.

El National Institute of Standards and Technology (NIST) ha dejado de respaldar las contraseñas por SMS de un solo uso. Una mejor solución sería crear una contraseña de un solo uso utilizando una herramienta como Google Authenticator, Microsoft Authenticator o LastPass Authenticator. Busque estas opciones en la «configuración» de sus cuentas.

Utilice herramientas de software que le ayuden a ver las cosas que a usted se le escapen. Utilice herramientas de firewall, antivirus, anti-malware y anti-phishing. Elija sus navegadores sabiamente. ¿El que utiliza actualmente le protege detectando intentos de phishing? ¿Es posible añadir un complemento? Si la respuesta es no, entonces elija otro buscador.

Además de las recomendaciones anteriores para el personal, las organizaciones también deberían hacer lo siguiente:

  • Utilice un gateway de email para bloquear emails de spam y elimine los emails que contienen enlaces o adjuntos sospechosos.
  • Instale un filtro de phishing de spam para eliminar los emails procedentes de remitentes desconocidos y los emails que contienen contenido sospechoso.
  • Utilice una herramienta de autenticación de email para la autenticación de mensajes basada en dominios, informes y conformidad (DMARC) con el fin de impedir que los delincuentes falsifiquen el campo «De» en un email.
  • Utilice métodos de filtrado con inteligencia artificial (IA) para identificar emails de ataques BEC. Los delincuentes envían emails de ataques BEC fingiendo ser miembros de la directiva de una organización, habitualmente pidiendo a los empleados que transfieran fondos desde una cuenta empresarial a una cuenta falsa del hacker.
  • Utilice soluciones de seguridad integrada en el servicio para protegerse frente a ataques de phishing que proceden desde el interior de su organización.
  • Sensibilice a sus empleados de los peligros de los ataques de phishing incluyéndolos en formaciones y simulaciones de phishing de forma regular.

Temas sobre el phishing